GDPRは2018年5月に施行され、EU域内のみならず、世界各国に影響を及ぼしている。日本・EU間においては、2019年1月23日に、はじめて十分性認定の枠組みが発効した。
そして、この十分性認定は、少なくとも4年ごとにレビューを行うとされていた。
2023年4月4日に、日本・EU間の十分性認定の相互認証に係るはじめてのレビューが完了している。
本記事においては、日本に関する十分性認定の内容、2023年のレビューの結果の概要について述べる。
I.-十分性認定
EEA域内にいるデータ主体の個人データをEEA域外に移転させるには、GDPRが定める要件が管理者及び処理者によって遵守される場合のみ許される。
GDPRでは、域外移転をする際には、①十分性認定に基づく移転(GDPR45条)、②適切な保護措置に従った移転(GDPR46条)、③特定の状況における例外(GDPR49条)のいずれかが必要となる。
十分性認定を受けると、特別の手続きを要せずにEU域外に個人データを移転させることができるようになる。
II.-補完的ルール
日本の十分性認定の採択と同時に、同認定により移転されたデータの取り扱いに関してのみ適用される補完的ルールが制定されている。
その内容は、主に次のとおりである。
(i) 性生活、性的指向 又は労働組合に関する情報について、個人情報取扱事業者は、当該情報について 個人情報保護法第 2 条第 3 項における要配慮個人情報と同様に取り扱うこと
(ii) (個人情報保護法上、個人データのうち6ヶ月以内に消去することとなるものについては保有個人データから除かれるのに対し、EU域内から十分性認定に基づき移転を受けた個人データについては、消去しようとする期間にかかわらず、法2条7項の「保有個人データ」に該当すること)
後述の通り、この内容は現在削除されている。
(iii) 個人データの提供先は、提供元の利用目的以上の目的を追加で提供できないこと
(iv) 外国にある第三者への提供の制限として、あらかじめ本人の同意を得るなど、個人情報保護法24条の枠組みに従った移転しかできないこと
III.-十分性認定のレビュー内容と課題
日本では、2020年、2021年に個人情報保護法の改正が行われた。
個人情報保護委員会(EU)は、補完的ルールの一部が法制化されたこと(保有個人データの定義の6か月保有用件の削除)や、個人情報保護委員会(日本)の権限の拡大等について評価した。
このレビューも踏まえ、2023年に補完的ルールも一部改正された。
上記IIの(ii)が削除されたほか、EU域内から十分性認定に基づき提供を受けた個人情報を加工して得られた仮名加工情報は、個人情報法第 41 条に基づき取り扱われることとされた。
また、個人情報保護法の改正では、「仮名加工情報」という概念が導入されました。EU域内から提供された個人情報を十分性認定に基づき処理することで得られる仮名加工は、PPIA第41条に従って処理されることが決定されました。
ただし、十分性認定の適用範囲は、第二次認定の際も、日本の個人情報保護法が適用される範囲に限定されており、独立行政法人等の公的機関のデータ転送が適用除外のままとなっており、この点は、今後の日EU間の十分性認定の課題として残っている。
南智士 (Satoshi Minami)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2024年3月1日
